Beast Ransomware

หลังจากวิเคราะห์มัลแวร์ที่มีชื่อว่า Beast นักวิจัยของ infosec พบว่ามันทำหน้าที่เป็นแรนซัมแวร์ แท้จริงแล้ว เมื่อมีการแทรกซึมเข้าไปในอุปกรณ์เป้าหมาย Beast จะเข้ารหัสไฟล์จำนวนมากบนอุปกรณ์เหล่านั้น เปลี่ยนชื่อไฟล์ต้นฉบับ และแสดงข้อความเรียกค่าไถ่แก่เหยื่อ The Beast Ransomware จะเพิ่มสตริงอักขระแบบสุ่มต่อท้าย (อาจทำหน้าที่เป็น ID ของเหยื่อ) และนามสกุล '.BEAST' ให้กับชื่อไฟล์ ตัวอย่างเช่น เปลี่ยนชื่อ '1.png' เป็น '1.png.{9FBBD051-18C1-DD7D-7970-05C896B83093}.BEAST,' '2.pdf' เป็น '2.pdf.{9FBBD051-18C1-DD7D-7970 -05C896B83093}.BEAST,' และอื่นๆ เป้าหมายของอาชญากรไซเบอร์ที่อยู่เบื้องหลังภัยคุกคามคือการใช้ข้อมูลที่ล็อคไว้เพื่อขู่กรรโชกเหยื่อเพื่อเงิน

The Beast Ransomware อาจส่งผลสะท้อนกลับอย่างมากต่อผู้ที่ตกเป็นเหยื่อ

บันทึกค่าไถ่ที่เกี่ยวข้องกับ Beast Ransomware แจ้งให้เหยื่อทราบว่าข้อมูลและไฟล์ของพวกเขาไม่สามารถเข้าถึงได้อีกต่อไปเนื่องจากการเข้ารหัส การเข้ารหัสนี้ส่งผลต่อไฟล์ประเภทต่างๆ มากมาย รวมถึงเอกสาร รูปภาพ ฐานข้อมูล และข้อมูลสำคัญอื่นๆ ที่จำเป็นสำหรับการดำเนินงานในแต่ละวัน

หมายเหตุดังกล่าวแนะนำอย่างยิ่งแก่ผู้ที่ตกเป็นเหยื่อไม่ให้แก้ไขไฟล์ใด ๆ ที่อยู่ในไฟล์ zip โดยเน้นว่าการพยายามทำเช่นนั้นอาจทำให้กระบวนการถอดรหัสซับซ้อนยิ่งขึ้น โดยยืนยันว่าวิธีเดียวที่จะกู้คืนการเข้าถึงข้อมูลที่เข้ารหัสได้คือการซื้อตัวถอดรหัสที่ไม่ซ้ำกันซึ่งจัดทำโดยผู้โจมตีที่อยู่เบื้องหลังแรนซัมแวร์โดยเฉพาะ

นอกจากนี้ บันทึกค่าไถ่ยังมีข้อเสนอสำหรับเหยื่อในการถอดรหัสไฟล์หนึ่งไฟล์โดยไม่คิดค่าใช้จ่าย หากไฟล์นั้นไม่ถือว่ามีค่า และเหยื่อติดต่อที่อยู่อีเมลที่ระบุที่ 'wangteam@skiff.com' อย่างไรก็ตาม ผู้โจมตีเตือนไม่ให้พยายามเปลี่ยนชื่อหรือแก้ไขไฟล์ที่เข้ารหัส เช่นเดียวกับการใช้ซอฟต์แวร์บุคคลที่สามหรือการขอความช่วยเหลือในการถอดรหัสจากแหล่งที่ไม่ได้รับอนุญาต เพื่อหลีกเลี่ยงกลยุทธ์ที่อาจเกิดขึ้นหรือค่าธรรมเนียมเพิ่มเติม

การวิจัยเกี่ยวกับการติดแรนซัมแวร์แสดงให้เห็นว่าการถอดรหัสโดยไม่เกี่ยวข้องกับอาชญากรไซเบอร์โดยเฉพาะนั้นมักเป็นไปไม่ได้ แม้ว่าเหยื่อจะตัดสินใจจ่ายค่าไถ่ แต่ก็ไม่มีการรับประกันว่าพวกเขาจะได้รับคีย์ถอดรหัสหรือซอฟต์แวร์ที่จำเป็น ทำให้การชำระเงินเป็นแนวทางปฏิบัติที่มีความเสี่ยงและไม่ได้รับคำแนะนำ

เป็นสิ่งสำคัญสำหรับเหยื่อที่ต้องเข้าใจว่าในขณะที่การลบแรนซัมแวร์ออกจากระบบของพวกเขาสามารถป้องกันการเข้ารหัสข้อมูลเพิ่มเติมได้ แต่จะไม่กู้คืนไฟล์ที่เข้ารหัสไว้แล้วโดยอัตโนมัติ ดังนั้น มาตรการเชิงรุกเพื่อรักษาความปลอดภัยของระบบและข้อมูล ควบคู่ไปกับการสำรองข้อมูลเป็นประจำ ยังคงมีความสำคัญในการบรรเทาผลกระทบจากการโจมตีของแรนซัมแวร์

ตรวจสอบให้แน่ใจว่าข้อมูลและอุปกรณ์ของคุณมีการป้องกันมัลแวร์และแรนซัมแวร์เพียงพอ

การตรวจสอบให้แน่ใจว่าข้อมูลและอุปกรณ์มีการป้องกันมัลแวร์และแรนซัมแวร์เพียงพอถือเป็นสิ่งสำคัญในการป้องกันภัยคุกคามทางไซเบอร์ นี่คือวิธีที่ผู้ใช้สามารถบรรลุสิ่งนี้:

• ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ : ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงบนอุปกรณ์ทั้งหมดเพื่อตรวจจับมัลแวร์และกำจัดภัยคุกคามที่เป็นอันตรายที่มีอยู่ในระบบ อัปเดตโปรแกรมเหล่านี้เป็นประจำเพื่อป้องกันภัยคุกคามล่าสุด
• เปิดใช้งานการป้องกันไฟร์วอลล์ : เปิดใช้งานไฟร์วอลล์บนอุปกรณ์เพื่อตรวจสอบการรับส่งข้อมูลเครือข่าย (ขาเข้าและขาออก) และบล็อกการเชื่อมต่อและมัลแวร์ที่อาจเป็นอันตราย
• การอัปเดตซอฟต์แวร์เป็นประจำ : อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์อื่น ๆ ด้วยแพตช์รักษาความปลอดภัยและอัปเดตล่าสุดอยู่เสมอ เพื่อแก้ไขช่องโหว่ที่อาจเกิดขึ้นจากมัลแวร์
• ข้อควรระวังในการใช้อีเมลและการท่องเว็บ : ระมัดระวังเสมอเมื่อเปิดไฟล์แนบอีเมลหรือคลิกลิงก์ โดยเฉพาะอย่างยิ่งจากแหล่งที่มาที่ไม่ได้รับการยืนยันหรือไม่เปิดเผย เนื่องจากอาจมีมัลแวร์หรือความพยายามฟิชชิ่ง
• ใช้มาตรการรักษาความปลอดภัยสำหรับเครือข่ายและ Wi-Fi : รักษาความปลอดภัยเครือข่าย Wi-Fi ด้วยการเข้ารหัสที่มั่นคง (WPA2 หรือ WPA3) และเปลี่ยนรหัสผ่านเริ่มต้นบนเราเตอร์เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
• ฝึกฝนพฤติกรรมออนไลน์อย่างปลอดภัย : หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์หรือไฟล์จากแหล่งที่ไม่คุ้นเคย และระมัดระวังเมื่อเยี่ยมชมเว็บไซต์ที่ไม่รู้จักมาก่อน ระวังโฆษณาป๊อปอัปและหลีกเลี่ยงการคลิกโฆษณาเหล่านั้น
• สำรองข้อมูลเป็นประจำ : ใช้กลยุทธ์การสำรองข้อมูลตามปกติสำหรับไฟล์และข้อมูลที่จำเป็น เก็บข้อมูลสำรองไว้อย่างปลอดภัย ไม่ว่าจะออฟไลน์หรือในตำแหน่งที่เข้ารหัสแยกต่างหาก เพื่ออำนวยความสะดวกในการกู้คืนหากประสบกับการโจมตีของแรนซัมแวร์หรือข้อมูลสูญหาย
• เปิดใช้งานคุณสมบัติความปลอดภัยบนอุปกรณ์ : ใช้คุณสมบัติความปลอดภัยในตัว เช่น ความสามารถในการล้างข้อมูลจากระยะไกล การเข้ารหัสอุปกรณ์ และการรับรองความถูกต้องทางชีวภาพ เพื่อปกป้องข้อมูลและป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตในกรณีที่ถูกขโมยหรือสูญหาย
• รับทราบข้อมูลอยู่เสมอ : รับทราบข้อมูลอยู่เสมอเกี่ยวกับแนวโน้มล่าสุดของมัลแวร์และแรนซัมแวร์ รวมถึงแนวทางปฏิบัติที่ดีที่สุดในการป้องกันและบรรเทาผลกระทบ ผ่านทางแหล่งข้อมูลที่มีชื่อเสียง เช่น บล็อกความปลอดภัยทางไซเบอร์ ฟอรัม และแหล่งข่าว

ด้วยการทำตามขั้นตอนเชิงรุกเหล่านี้ ผู้ใช้สามารถปรับปรุงการปกป้องข้อมูลและอุปกรณ์ของตนจากมัลแวร์และภัยคุกคามแรนซัมแวร์ได้อย่างมาก ซึ่งช่วยลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีทางไซเบอร์

ผู้ที่ตกเป็นเหยื่อของ Beast Ransomware จะเหลือข้อความเรียกค่าไถ่ดังต่อไปนี้:

'YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

If you found this document in a zip, do not modify the contents of that archive! Do not edit, add or remove files from it!

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique decryptor.
Only we can give you this decryptor and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: WangTeam@skiff.com
decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: WangTeam@skiff.com

Attention!

Do not rename or edit encrypted files and archives containing encrypted files.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'